Serverová architektura FDT (FITS, FDT IIoT Server) umožňuje kompletně zabezpečit data v aplikacích IIoT.
Zabezpečení dat v průmyslu je komplikovaný úkol s mnoha aspekty, který nelze vyřešit jednoduše nakoupením nejnovější techniky. Speciálně zabezpečení průmyslových řídicích systémů a komunikačních sítí vyžaduje zlepšování procesů, používání vhodných nástrojů a podrobné hodnocení rizik.
Vektorem útoků, které mohou způsobit selhání celé řídicí infrastruktury podniku, často bývaly a stále jsou osobní počítače (PC). Na oblast kybernetických hrozeb však má zásadní vliv příchod průmyslového internetu věcí, IIoT (Industrial Internet of Things). Zabezpečení dat v mnoha směrech komplikuje konvergence provozní řídicí techniky a informačních systémů podniku. Ač bývá považována za žádoucí, mnohé podniky v oblasti kritické procesní výroby vyžadují fyzické oddělení řídicích systémů tak, aby uživatelé z oblasti OT (Operational Technology) neměli žádný, přímý ani nepřímý, přístup k internetu. Hledají se způsoby, jak zabezpečit přístup k datům z podnikové sítě (IT, Information Technology) až na úroveň snímačů a akčních členů.
Pokrok ve standardu FDT
Nástroje FDT (Field Device Tools; v současné době jsou součástí norem IEC 62453, GB/T 29618-2017 a ISA 103), představené v roce 1998 aliancí FDT Group (FDT Group je nezávislá mezinárodní nezisková organizace, jejímž úkolem je vývoj a prosazování nástrojů FDT), jsou určené pro standardizaci komunikačních a konfiguračních rozhraní mezi provozními zařízeními a nadřazenými systémy. Nástroje FDT jsou považovány za de facto standard pro integraci a výměnu informací a využívají je miliony uživatelů po celém světě.
Obr. 1. FDT Server zahrnuje rozhraní pro řídicí systémy a webové služby a jeho nativní součástí je OPC UA Server
Základem každé automatizační architektury je integrace. FDT představuje pro integrované výrobní závody robustní řešení mj. i pro své silné schopnosti zabezpečení. Standardní úplné kybernetické zabezpečení automatizační infrastruktury má za cíl vypořádat se s potenciálními útoky na automatizační zařízení. Poskytuje zabezpečení, ať jde o integraci aplikací dodaných řídicích systémů, nebo o integraci s nadřazenými (a zabezpečenými) systémy IT.
Vývoj architektury FDT IIoT Server
V roce 2018 oznámila společnost FDT Group vývoj architektury FDT IIoT Server, zkráceně FITS, která bude flexibilní platformou pro využití v řešeních s IIoT. Vyvinutá specifikace FITS má vybavit inteligentní výrobní podniky nativní integrací protokolu OPC UA (Open Protocol Communications – Unified Architecture), stejně jako řídicích a webových služeb pro mobilní aplikace. FITS umožní vytvářet cloudové, podnikové, on-premise a jednouživatelské aplikace, které vyhovují požadavkům procesní, hybridní i diskrétní výroby.
Architektura FDT IIoT Server umožňuje integraci webových aplikací Device Type Manager (FDT/DTM), které jsou digitální reprezentací fyzických zařízení. FDT Server bude zahrnovat online úložiště, které umožní koncovým uživatelům pohodlný přístup k souborům DTM, jež budou potřebovat pro různé aplikace. FDT Server zahrnuje také OPC UA Server, WebServer a samostatné (lokální) aplikace (obr. 1). OPC UA Server umožňuje přístup k datům DTM z aplikací OPC UA Client. WebServer dovoluje používat DTM WebUI ve webových klientech na vzdálených zařízeních, jako jsou chytré telefony, tablety nebo PC. WebServer také podporuje použití aplikací pro zlepšení produktivity práce a dostupnosti výrobních zařízení.
Pracovní skupina Architektura a specifikace sdružení FDT Group rovněž integruje implementační knihovny .NET Core a .NET Standard, aby byla serverová architektura FITS zcela nezávislá na použité platformě. Tento přechod umožní, aby byla architektura FITS využitelná na operačních systémech od firmy Microsoft, na OS založených na Linuxu i na OS macOS, čímž pomůže v inteligentním výrobním závodě překlenout mezeru mezi aktuálními instalovanými přístroji a novou generací přístrojů podporujících IIoT a Industry 4.0.
Vylepšené zabezpečení
Při přípravě standardu FITS věnuje FDT Group velkou pozornost zabezpečení dat pro IIoT. Otázka zabezpečení nabyla na důležitosti, když se nástroje FDT vyvinuly z původních jednouživatelských aplikací klient/server do plně distribuované architektury, která podporuje prohlížečové klienty přistupující na FDT Server, ať je to server podnikový, on-premise, nebo v cloudu.
FITS k tomu nebude potřebovat klasickou automatizační pyramidu. Vlastně nabízí způsob, jak „zploštit“ řídicí architekturu, aby se tak překonala omezení podnikových aplikací, které potřebují přímý přístup k zařízením nižší úrovně řídicí pyramidy pro získávání dat potřebných pro analýzy, hodnocení provozu atd. To umožňují flexibilní a distribuované komponenty určené k minimalizaci potenciálních bezpečnostních rizik.
Řešení FITS je určeno pro propojené i nepropojené systémy, podporuje v podstatě jakoukoliv automatizační architekturu a vyhovuje současným bezpečnostním doporučením v typickém průmyslovém podniku. Navíc je zde unikátní možnost autentizovat klientská zařízení, která žádají o přístup na server.
Architektura FITS se vyznačuje robustním multiúrovňovým zabezpečením, vyvinutým odborníky z pracovní skupiny FDT Group Security Team tak, aby bylo konzistentní na různých operačních systémech. Zabezpečení posiluje osvědčené průmyslové standardy, jako např. šifrovací službu Transport Layer Security (TLS), umožňující využívat protokoly WebSocket Secure (WSS), a Hyper Text Transfer Protocol Secure (HTTPS). Bezpečnostní strategie FITS zahrnuje:
- šifrovanou komunikaci používající TLS,
- zabezpečení účtů uživatelů na základě rolí,
- využití certifikátů 509v3 pro autentizaci,
- zabezpečení „on the wire“ pro protokoly průmyslových řídicích systémů.
TLS (obr. 2) je kryptografický protokol určený pro zabezpečení komunikace v počítačových sítích. Má tři základní funkce: šifrování zpráv, detekci změny zpráv a autentizaci mezi klientem a serverem. TLS zajišťuje, že veškerá výměna zpráv je plně zašifrovaná. Tak je možné posílat i citlivé informace a přitom minimalizovat riziko odposlechu nebo změn.
Obr. 2. TLS je kryptografický protokol poskytující možnost zabezpečené komunikace na internetu
Bezpečnostní architektura FITS však nabízí další úroveň zabezpečení, jež se na straně implementace TLS zákazníky vyskytuje jen zřídka. Kromě standardního šifrování a autentizace serveru může být architektura FITS konfigurována tak, že se pro komunikaci se serverem autentizují také specifická klientská zařízení. Z pohledu konvergence IT/OT mohou nyní administrátoři zajistit, že autentizovaná klientská zařízení, která jediná mohou komunikovat se serverem, mají odpovídající antivirovou ochranu a splňují další firemní bezpečnostní požadavky, aby tak bylo zajištěno, že po jejich připojení k serveru nebudou zdrojem virové infekce.
K databázi FDT Server se může prostřednictvím protokolu WebSocket připojit jakýkoliv autorizovaný prohlížeč nebo aplikace s tím, že ochrana je zajištěná pomocí WebSocket Secure (WSS). WSS chrání komunikaci prostřednictvím kontroly integrity zpráv a jejich důvěryhodnosti a silnou autentizací. Současně se používá také zabezpečená verze protokolu HTTP, a sice HTTPS. Tímto protokolem se zasílají data mezi prohlížečem a připojeným FDT Serverem.
V předcházejících verzích standardu FDT se vždy používal požadavek autentizace uživatele, který zaručoval autorizaci uživatelů na základě přidělených rolí. Tento přístup se efektivně používá již mnoho let a je oceňován pro to, že odstraňuje velkou administrativní zátěž na straně řízení průmyslových provozů. Zabezpečení na základě přidělených rolí zůstává zachováno i v distribuované architektuře FITS a několikaúrovňovém zabezpečení využívajícím strategii hloubkové ochrany. Vrstvení různých zabezpečovacích mechanismů poskytuje robustní přístup k zabezpečení na základě jejich vzájemného jištění.
Autentizační schémata X.509 (systém s veřejnými šifrovacími klíči) aplikace FDT Server, vycházející z příslušných certifikátů, jsou těsně integrována s TLS nejen proto, aby byl verifikován správný server, ale i pro potvrzení, že klientské zařízení je autorizováno pro komunikaci se serverem. Trojnásobná autentizace serveru, klientského zařízení a koncového uživatele zaručuje odolnost proti útokům typu „muž uprostřed“ nebo jiným narušením zabezpečení neautorizovaným přístupem. Použití šifrované komunikace zase zajišťuje odolnost proti odposlechům.
Sdružení a asociace prosazující průmyslové komunikační sítě se také přiklánějí k robustnějším modelům zabezpečení svých protokolů. Jedním příkladem tohoto trendu, nazývaného „security on the wire“, může být nový protokol Common Industrial Protocol (CIP) Security, svazek 8, nedávno publikovaný sdružením ODVA. CIP Security ve spojení s FITS umožňuje realizovat ucelené řešení zabezpečení end-to-end v celém závodě. Aplikace FDT Server budou nativně podporovat protokol CIP Security a propojovat tak zabezpečenou architekturu s řízením. „Security on the wire“ umožní ochranu řídicího systému před každým neautorizovaným náhodným nebo záměrně škodlivým přístupem. Například vícevrstvový přístup v CIP Secure EtherNet/IP dovoluje uživatelům implementovat komunikační protokol EtherNet/IP pro veškerou řídicí komunikaci jako základ komunikačního systému se silnou autentizací, volitelně šifrovanou, aby se tak zabránilo potenciálním narušením.
A na závěr: architektura s FITS může být využívána v privátním i veřejném cloudu a umožňuje plnou replikaci serverového prostředí pro okamžitou náhradu při selhání virtuálního serveru nebo sítě. To zvyšuje dostupnost, protože veškerá komunikace mezi vzdáleným serverem a místními řídicími sítěmi probíhá prostřednictvím tunelu VPN (Virtual Private Network) nebo jinou ekvivalentní metodou, aby se tak zabránilo všem pokusům o neoprávněný přístup k datům. VPN vytváří zabezpečené spojení z cloudu k jednotlivým závodům a provozům a přitom zajišťuje redundantní spojení pro případ selhání cloudových služeb. Tak je zajištěno, že všechna komunikace mezi vzdálenou aplikací FDT Server a fyzickým provozem či provozy je zajištěna prostřednictvím odolných a šifrovaných tunelů VPN.
Integrace OPC UA
Hlavní funkcí FITS je integrace serverů OPC UA, které poskytují informační model pro výměnu dat na podnikové úrovni. Na rozdíl od „rukodělných“ řešení, která se snaží prostřednictvím OPC UA získávat přístup k některým informacím ze zařízení, škálovatelná architektura FITS využívá OPC UA Server nativně a umožňuje prostřednictvím FDT Serveru přístup ke všem zařízením a všem sítím. Ze strany koncového uživatele přitom není třeba žádná speciální konfigurace. Jakákoliv aplikace OPC UA Client, která má odpovídající bezpečnostní profil, tak může procházet celou strukturou projektu a má přístup ke všem informacím uloženým na FDT Serveru.
Pro certifikované OPC UA Servery vestavěné do architektury FITS se používají všechny akceptované zabezpečovací mechanismy stanovené sdružením OPC Foundation. Ty zahrnují:
– Důvěryhodné informace (CIA Triad): CIA Triad, trojice CIA, je model určený pro návrh pravidel zabezpečení informačních systémů v podniku. Prvky této trojice (důvěrnost, integrita a dostupnost) jsou považovány za tři nejdůležitější komponenty zabezpečení. Důvěrnost je v tomto ohledu sada pravidel, která omezují přístup k informacím, integrita je zajištění, že jsou informace důvěryhodné a přesné, a dostupnost je zaručení, že autorizované osoby budou mít spolehlivý přístup k informacím.
– Řízení přístupu (rámec AAA): Rámec AAA je způsob řízení přístupu účastníků komunikace k serveru a určení, jaké služby budou konkrétnímu autorizovanému dodavateli dostupné. Síťové služby autentizace, autorizace a vedení účtů (AAA – Authentication, Authorization, and Accounting) tvoří primární rámec pro nastavení kontroly přístupu v routeru nebo přístupovém serveru.
FDT Group věnuje při vývoji distribuované architektury FITS velkou pozornost tomu, aby byly splněny všechny požadavky trojice CIA: důvěrnost, integrita a dostupnost.
Závěr
S rostoucí důvěrou v propojené systémy v průmyslových provozech a továrnách a se stále rostoucími objemy dat je pro řídicí systémy, jejich prvky, zdroje dat a komponenty komunikačních sítí stále důležitější zabezpečení zakotvené již v jejich konstrukci.
Platforma FITS sdružení FDT Group je od začátku navrhována tak, aby zajistila co nejvyšší zabezpečení při flexibilním využití možností vhodných pro diskrétní, procesní i hybridní výrobu. Toto řešení bude optimalizováno kontinuálními změnami na základě zkušeností z praxe. Osvědčené postupy se budou promítat zpět do zdokonalování zabezpečení platformy.
Glenn Schulz, výkonný ředitel FDT Group